تغير Cozy Bear وغيرها من التهديدات المتقدمة المتقدمة (APTs) مسارها مع زيادة اعتماد السحابة

تعمل الجهات الفاعلة في مجال التهديد والتي لها صلات بالدولة الروسية على تغيير تكتيكاتها مع هجرة المزيد من المنظمات إلى البنية التحتية القائمة على السحابة، ولكن الخبر السار هو أن استراتيجيات التخفيف الأساسية عبر الإنترنت لا تزال فعالة بشكل ملحوظ ضد حتى المتسللين الحكوميين المتطورين، مثل المملكة المتحدة. المركز الوطني للأمن السيبراني وقالت (NCSC).

وفي تقرير استشاري تم نشره بالاشتراك مع وكالات Five Eyes المتحالفة معه من أستراليا وكندا ونيوزيلندا والولايات المتحدة، ركز المركز بشكل خاص على مجموعة التهديد المستمر المتقدم (APT) المشار إليها باسم APT29، والتي تُعرف على نطاق واسع باسم Cozy Bear وغيرها من التهديدات. أسماء مثل عاصفة ثلجية منتصف الليل.

Cozy Bear هي وحدة مرتبطة في أوقات مختلفة بكل من جهاز الأمن الفيدرالي في موسكو (FSB) وجهاز المخابرات الخارجية (SVR)، وكلاهما خلفت وكالة KGB في الاتحاد السوفيتي. يرتبط Cozy Bear بشكل مشهور بـ سولارويندز أمة الله/سولوريجيت الحادثة، و2016 اختراق اللجنة الوطنية الديمقراطية.

وقال بول تشيتشيستر، مدير عمليات المركز الوطني للأمن الإلكتروني: “نحن عازمون على التزامنا بالكشف عن النشاط السيبراني الخبيث، والذي يتضمن زيادة الوعي بالتغيرات في سلوك المجموعات التي تستهدف المملكة المتحدة باستمرار”.

“يحث NCSC المنظمات على التعرف على النصائح الاستخبارية والتخفيفية ضمن الاستشارات للمساعدة في الدفاع عن شبكاتها.”

قال NCSC إن العديد من القطاعات التي استهدفتها Cozy Bear، مثل مؤسسات الفكر والرأي والهيئات الحكومية والمنظمات في قطاعي التعليم والصحة، انتقلت إلى البنية التحتية القائمة على السحابة – خاصة في أعقاب Covid-19 – مما يعني أن المزيد أصبحت وسائل الوصول التقليدية، مثل استغلال نقاط الضعف والتعرضات الشائعة (CVEs) في المنتجات البرمجية، محدودة بعض الشيء.

وبدلاً من ذلك، لاحظت أن الجهات الفاعلة الروسية في مجال التهديد تتبنى تقنيات جديدة، مثل سرقة رموز الوصول الصادرة عن النظام لاختراق حسابات الضحايا، وتسجيل أجهزة جديدة في البيئة السحابية للضحية عن طريق إعادة استخدام بيانات الاعتماد المخترقة، وحسابات النظام المستهدفة من خلال رش كلمة المرور وهجمات القوة الغاشمة. .

غالبًا ما يتم تمكين مثل هذه الأساليب بنجاح من جانب الضحايا بفضل سياسات إدارة كلمات المرور الضعيفة وغياب المصادقة متعددة العوامل (MFA).

بعد حصوله على وصول أولي، قال مركز NCSC، إن الجهة التهديدية تستخدم قدرات متطورة للغاية في مرحلة ما بعد الاختراق، مثل ماجيك ويبوهي تقنية تم توثيقها لأول مرة في عام 2022 من قبل فرق أبحاث التهديدات في Microsoft، لذلك يتم حث المؤسسات المعرضة للخطر على إيلاء اهتمام خاص لطرق الوصول الأولية.

وعلى هذا النحو، قد يعتبر المدافعون أن بعض إجراءات التخفيف التالية هي نقطة انطلاق جيدة، إذا لم يتم اعتمادها بالفعل:

• تنفيذ أسلوب MFA على الفور وللحد من تأثير اختراقات كلمات المرور؛
• قم بفرض كلمات مرور قوية وفريدة عبر الحسابات المحمية بواسطة MFA، وقم بتعطيلها عند عدم الحاجة إليها باستخدام سياسة مناسبة مطبقة لإدارة النجارين والمحركين والمغادرين;
• اعتماد مبادئ الامتياز الأقل (POLP) للتحكم في الوصول إلى موارد تكنولوجيا المعلومات الهامة؛
• إنشاء حسابات خدمة “canary” تبدو صالحة ولكن لا يتم استخدامها مطلقًا، وتنفيذ المراقبة والتنبيه عليها لاكتشاف العلامات التي تشير إلى احتمال وصول جهة التهديد إلى بيئتك؛
• فرض حدود زمنية صارمة على مدة الجلسة لتقليل فرصة قيام جهة التهديد بإساءة استخدام الرموز المميزة للجلسة المسروقة – مع التأكد من إقران هذه السياسة بطريقة مصادقة مناسبة لا تؤدي إلى إرهاق المستخدمين الشرعيين كثيرًا؛
• تهيئة سياسات تسجيل الجهاز للسماح فقط بالأجهزة المصرح بها، باستخدام التسجيل بدون لمس حيثما أمكن، أو نموذج قوي من MFA حيث يجب استخدام التسجيل الذاتي.
• فكر في استخدام نطاق أوسع من مصادر المعلومات، مثل أحداث التطبيق والسجلات المستندة إلى المضيف، لمنع الشذوذات واكتشافها والتحقيق فيها، مع إيلاء اهتمام خاص لمصادر ومؤشرات التسوية (IoCs) التي تتمتع بمعدل أفضل من الإيجابيات الكاذبة.